nat搭建v2ray

在ipv6中能用哪种方式可以增强ipv6网络中的路由协议安全

光猫改成桥接模式有：工作负荷小，路由器拨号带机量比光猫大，网络延迟小，可以实现更多功能。

光猫拨号的上网方式又叫做路由模式，在路由模式下，电脑插网线到光猫就可以直接上网，实现即插即用，方便简洁，在路由模式下光猫自带的无线功能可用，面积小的房间可不需要再另外安装路由器。

而为了简化用户的操作，现在的光猫集成了很多功能，身兼数职，除了最基本的光电转换功能外，还集成了路由功能、DHCP服务、NAT、IPTV、WIFI功能等。而光猫的硬件只能满足家庭网络的基本需求，如果将光猫作为家庭网络的中心节点，由于光猫的性能问题，可能无法满足需求，长时间运行造成网络不稳定的状况。

并且光猫路由还限制了最大连接数，WIFI为2.4G，信号还比较弱。解决的方法就把光猫改为桥接模式。（不会影响IPTV）让光猫回归最基本的功能：光电转换、IPTV、座机。购买一个性能稍好的路由器，来完成最占用资源的路由、DHCP服务、NAT、WIFI等功能。

如果在使用电信宽带绑定的手机号码或安装了座机即可直接拨打1000号人工客服进行身份验证修改，比较快捷。

如果没有电信手机号码也没装固定电话使用移动或者联通的电话拨打需要验证宽带账号的服务密码，若服务密码忘记需要验证身份证信息重置服务密码然后再拨打人工进行修改，比较繁琐。

nat1会降低延迟吗?

1、IPv6地址过滤

防火墙或路由器进行IPv6地址过滤配置，具备非法地址过滤条目（如多播地址，链路本地地址作为源地址的过滤条目），具备单播逆向（uRPF）过滤等功能，可抵御非法路由条目攻击。

2、路由协议安全防护

路由器、防火墙或三层交换机的路由配置，采用IPv6路由协议，如OSPFv3认证功能，OSPFv3主要用于在IPv6网络中提供路由功能，OSPFv3是基于OSPFv2上开发用于IPv6网络的路由协议。为适应IPv6运行环境，支持IPv6报文的转发，OSPFv3相对OSPFv2做出相关的改进，使得OSPFv3可以独立于网络层协议，并且其扩展性加强，可以满足未来的需求。

3、DHCPv6安全防护

DHCPv6的场景下，DHCPv6服务器或路由设备上配置DHCP安全防护，能防止非法DHCP用户攻击。与其他IPv6地址分配方式（手工配置、通过路由器通告消息中的网络前缀无状态自动配置等）相比，DHCPv6具有以下优点：

（1）更好地控制IPv6地址的分配。DHCPv6方式不仅可以记录为IPv6主机分配的地址，还可以为特定的IPv6主机分配特定的地址，以便于网络管理。

（2）DHCPv6支持为网络设备分配IPv6前缀，便于全网络的自动配置和网络层次性管理。

（3）除了为IPv6主机分配IPv6地址/前缀外，还可以分配DNS服务器IPv6地址等网络配置参数。

4、NAT转换设备安全防护

使用NAT的场景下，在NAT转换设备上配置了安全防护，抵御NAT相关攻击。按照NAT的具体工作方式，又可以做如下分类。

（1）应用层网关

应用层网关(ALG)是解决NAT对应用层协议无感知的一个最常用方法，已经被NAT设备厂商广泛采用，成为NAT设备的一个必需功能。

（2）探针技术STUN和TURN。

所谓探针技术，是通过在所有参与通信的实体上安装探测插件，以检测网络中是否存在NAT网关，并对不同NAT模型实施不同穿越方法的一种技术。

（3）中间件技术

与ALG的不同在于，客户端会参与网关公网映射信息的维护，此时NAT网关只要理解客户端的请求并按照要求去分配转换表，不需要自己去分析客户端的应用层数据。

（4）中继代理技术

在NAT网关所在的位置旁边放置一个应用服务器，这个服务器在内部网络和外部公网分别有自己的网络连接。

5、NAT安全溯源

使用NAT的场景下，能够记录IPv6源地址，抵御IPv6攻击。将某一时刻NAT地址池中特定合法IP的特定端口是哪个用户在使用的信息发送给日志服务器，由日志服务器保存一定时间，供相关部门查询。

6、IPv6相关的防火墙（含WAF）的安全防护。

防火墙（含WAF）的配置，如防火墙的运行模式（过滤或NAT），防火墙的ACL级别（IP或端口），防火墙上可启用的额外功能（VPN、IDS、Web应用防护）的Web应用防火墙。

WRT610N V1和V2两个版本性能区别明显么？

设置好了可以降低的。

-网络环境：

我这边的网络环境，电信189套餐一共送了20条宽带。其中1条300M下30M上，1条100M下20M上，还有18条是50M下10M上，一条100M对等的联通，在加上后期拉的2条500M电信对等，所以家里一共是23条宽带，都为公网IP。3个电信光猫，1个联通光猫，若干路由器，交换机。

-CDN节点共享（闲置流量换钱）：

早期，我网络环境没这么多，就玩迅雷的红水晶，再到迅雷路由，再到赚钱宝再到玩客云，可以说是一路走来。其中一代赚钱宝和赚钱宝pro挂的最久，后来不赚钱，就卖掉了大部分，玩客云因为网络的限制，留了几台，大部分抢到就是当倒爷。既然宽带这么多条，涉及到多线多拨，铁定上软路由，选爱快，操作简便，分流效果都挺好。既然有这么多闲置的带宽，刚好玩客云出现了现金，买几台试下，加上宽带提速加成，效果不错，于是就买了20几台，赚点小钱，毕竟穷。

-开始出现问题：

没想这玩意是真的能跑，20多台设备上传流量量速率达到了千兆，我用了几年的3215U 4口的软路由，开始不堪重负，100%的干活，也不知道是不是开繁星导致，反正感觉吃不消，但是上网啥的没问题，但是过了一阵子，发现当ap的ac88u，wifi开始不稳，会掉线，然后比较难连上。这让喜欢吃鸡的女王大人无法忍受，显然，挨骂是一定的。一开始以为是86u断流，用排除法，加上acrh17当ap，问题依旧，看来是就是软路由的锅。刚好电信有个500M对等的优惠套餐，果断办理，为了不受千兆端口限制，让电信小哥，再拉一条光纤，此时家里已经有了4个光猫了，电信3个，联通1。4口的软路由端口开始不够用了。宽带太多，很容易达到千兆瓶颈，一个光猫1G的带宽。

-性能不够硬件来凑

刚好同事需要软路由，把3215u出了。手头上还有dq77kb+e3 1265l v2，买个4口网卡当软路由，年少不懂事，上了淘宝买了i350-t4（寨卡）。不过还好用着没问题。这下性能应该不会瓶颈了，然而，wifi有时会连不上的问提依旧，看来是爱快的bug了，但是爱快用了好多年了，好多配置都在里面，如果换固件，调配置，比如ddns，端口转发，分流啥的，就要弄好久。但是wifi的问题不能不解决，刚好在群里看到有人说爱快，当设备跑多了，就会出现这个情况，上个三层交换机就会解决问题。那就上某鱼淘个二手的三层交换机来试试吧。后来看到群里有有人提到nat类型，对提高收益有帮助。于是大致了解了下，给大伙贴下。

-Nat类型

1. Full Cone NAT（简称NAT1）：

所有来自同一 个内部Tuple X的请求均被NAT转换至同一个外部Tuple Y，而不管这些请求是不是属于同一个应用或者是多个应用的。除此之外，当X-Y的转换关系建立之后，任意外部主机均可随时将Y中的地址和端口作为目标地址 和目标端口，向内部主机发送UDP报文，由于对外部请求的来源无任何限制，因此这种方式虽然足够简单，但却不那么安全。

2. Restricted Cone NAT（简称NAT2）：

它是Full Cone的受限版本：所有来自同一个内部Tuple X的请求均被NAT转换至同一个外部Tuple Y，这与Full Cone相同，但不同的是，只有当内部主机曾经发送过报文给外部主机（假设其IP地址为Z）后，外部主机才能以Y中的信息作为目标地址和目标端口，向内部主机发送UDP请求报文，这意味着，NAT设备只向内转发（目标地址/端口转换）那些来自于当前已知的外部主机的UDP报文，从而保障了外部请求来源的安全性。

3. Port Restricted Cone NAT（简称NAT3）：

它是Restricted ConeNAT的进一步受限版。只有当内部主机曾经发送过报文给外部主机（假设其IP地址为Z且端口为P）之后，外部主机才能以Y中的信息作为目标地址和目标端口，向内部主机发送UDP报文，同时，其请求报文的源端口必须为P，这一要求进一步强化了对外部报文请求来源的限制，从而较Restrictd Cone更具安全性。

4. Symmetric NAT（简称NAT4）：

这是一种比所有Cone NAT都要更为灵活的转换方式：在Cone NAT中，内部主机的内部Tuple与外部Tuple的转换映射关系是独立于内部主机所发出的UDP报文中的目标地址及端口的，即与目标Tuple无关。

上面是我百度出来，反正只要认为nat1是最好的就行，根据我的经验来说，像爱快，高恪之类的软路由都是nat4,。Lede可以nat1，而平常普通路由拨号的nat类型为3，刷高恪和openwrt就可以做到nat1。当然只要你路由器做了dmz也是可以变成nat1，但是这个只能指定内网的一个主机，你多台的就不行。那nat1对提高收益有帮助吗？对此，我还专门做了测试，拿出矿渣newifi3，编译了对应的openwrt固件，感谢lean大雕的源码，开始挂上，做为期几天的测试，结论是确实可以提高收益，而且对p2p游戏下载啥的也有帮助。

-目前支持nat1固件:

openwrt系列，理论能刷的openwrt都可以。

k2p高恪固件，

acrh17也可以刷改版梅林实现full cone（感谢大雕的固件，该有的功能都有。）

梅林固件，目前只有新内核才支持，例如ac86u，ax88u。

如何给iptables添加模块v2.2

4718 的频率和一些硬件特性是4705所不具备的，比如能有效改善NAT转发性能的CTF功能就只有4718独有，4705不光频率比4718低，而且对于路由器关键的NAT转发性能也是差很多，毕竟是5个千兆口的路由，NAT抓发能力还是很重要的，推荐华硕N-16，CPU和V2是一样的，其它硬件配置比V2还要高一些，主要是闪存和内存，自带USB，而且一般能买到带保修的港行。

如何在Windows Azure上搭建SSTP VPN

我使用的是RED HAT LINUX 9.0 使用文本英文安装。这个就跳过去了安卓 细说了，自己装装就熟悉了。对装LINUX不熟悉的朋友可以先使用中文安装，界面是一样的，用中文安装最大的缺点就是在文本下有时候会出现乱码。

安装时，最小化安装，什么软件包都不选，防火墙选择无那个选项。安装完后，使用setup命令，选择system services,服务项里只选择network 和ssh服务，其他的都不要。然后进入网卡文件目录 cd /etc/sysconfig/network-scripts 。在文本模式下，只能添加一个网卡的IP，复制另一个网卡的参数 cp eth0 eth1 修改eth1网卡的参数。vi ./eth1 修改成你的内网IP。

DEVICE=eth1

BOOTPROTO=static。

BROADCAST=192.168.0.255。

IPADDR=192.168.0.1。

NETMASK=255.255.255.0。

NETWORK=192.168.0.0。

ONBOOT=yes

IP是192.168.0.1

在/etc/rc.d目录下新建一个文件rc.fw 使用命令touch /etc/rc.d/rc.fw，然后将你的脚本添加到rc.fw里 使用vi /etc/rc.d/rc.fw 我使用的下面的脚本。

touch /var/lock/subsys/local。

/sbin/modprobe ip_tables。

/sbin/modprobe ip_nat_ftp。

/sbin/modprobe ip_conntrack_ftp。

/sbin/iptables -F。

/sbin/iptables -F -t nat。

/sbin/iptables -X。

/sbin/iptables -Z。

/sbin/iptables -P INPUT ACCEPT。

/sbin/iptables -P FORWARD ACCEPT。

/sbin/iptables -P OUTPUT ACCEPT。

echo 1 > /proc/sys/net/ipv4/ip_forward。

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE。

/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT。

ptables -t nat -A PREROUTING -p udp -d 192.168.0.1 --dport 53 -j DNAT --to 61.134.1.9:53。

保存退出，编辑/etc/rc.d/rc.local。

#!/bin/sh

# This script will be executed *after* all the other init scripts.。

# You can put your own initialization stuff in here if you don't。

# want to do the full Sys V style init stuff.。

touch /var/lock/subsys/local。

/etc/rc.d/rc.fw &。

重启后，一个网关服务器就做好了。

再转个全面点的

我们在使用Internet时。特别 时Intranet接入Internet时，经常要用到的代理服务器。代理服务器以其良好的可配置性，对信息的灵活访问机制，对信息的缓存机制，加快网络访问而成为一个常用的服务器。对于我们网吧的系统管理员，应对代理服务器的安装和配置有相当的熟悉和了解。

代理服务器系统结构为Redhat Linux 9.0，使用“网关型”代理结构使网吧的Intranet接入Internet。

代理服务器系统组成规范如下：

一、熟悉作为代理服务器机器设备的硬件配置。

确定机器的硬件设备与Linux兼容。可以http://www.redhat.com/support/hardware检查支持的硬件列表（该步骤可以省略）。将主板的CMOS设置中的“病毒检测”项关闭。

二、开始安装Linux（采用本地光盘安装模式）

1． 用Linux安装启动光盘引导机器启动；

2．采用文本安装模式。在boot：提示符后输入text进行文本模式安装，使用Tab，空格，箭头和回车来控制安装界面。

3．开始安装

⑴、Language Selection（语言选择）；选择中文。

⑵、键盘的配置；

⑶、选择本地光盘安装；

⑷、鼠标的配置；

⑸、选择Custom（定制）系统安装；

⑹、分区（以80GB硬盘，1024MB内存RAM为例）；

分区类型 最小空间尺寸 规范空间尺寸。

/ 512MB 1024MB

/var 1024MB 2048MB。

Swap 1024MB(RAM) 2048MB(2*RAM)。

/home 1024MB MAX。

⑺、配置LILO；

⑻、配置网络（逐一对所有网络适配器进行设置）；

eth0 ***.***.***.*** 外网IP地址。

eth（1、2、3..） ***.***.***.*** 内网IP地址。

⑼、设置时区；

⑽、设置超级用户（root）口令和设置用户帐号。

⑾、安装软件包；取消系统默认的所有安装软件包；选择Custom（定制）安装软件包； ssh（远程访问）；

⑿、开始格式化分区和安装软件包；

⒀、创建起动盘，选择不创建；

⒁、安装完成。

4．配置Linux

三、实现网关代理功能

1．编写脚本文件rc.net以实现网关代理作用。次脚本文件保存路径为/etc/rc.d/rc.net。脚本文件内容如下：

#!/bin/sh

/sbin/modprobe ip_tables。

/sbin/modprobe ip_nat_ftp。

/sbin/modprobe ip_conntrack_ftp。

/sbin/iptables -F。

/sbin/iptables -F -t nat。

/sbin/iptables -X。

/sbin/iptables -Z。

/sbin/iptables -P INPUT ACCEPT。

/sbin/iptables -P FORWARD ACCEPT。

/sbin/iptables -P OUTPUT ACCEPT。

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE。

/sbin/iptables -A FORWARD -s 0/0 -j ACCEPT。

/sbin/iptables -A FORWARD -d 0/0 -j ACCEPT。

echo "1" > /proc/sys/net/ipv4/ip_forward。

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 445 -j DROP。

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 135 -j DROP。

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 139 -j DROP。

/sbin/iptables -t nat -A PREROUTING -p udp --dport 6612 -j DROP。

#IGMP

iptables -A INPUT -p ICMP -d ***.***.***.*** -m limit --limit 1/s --limit-burst 10 -j ACCEPT。

iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT。

#NMAP FIN/URG/PSH。

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP。

#Xmas Tree

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP。

#Another Xmas Tree。

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP。

#Null Scan(possibly)。

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP。

#SYN/RST

iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP。

#SYN/FIN -- Scan(possibly)。

iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP。

#synfoold

iptables -N synfoold。

iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN。

iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset。

iptables -A INPUT -p tcp -m state --state NEW -j synfoold。

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all。

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT。

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT。

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT。

iptables -N syn-flood。

iptables -A INPUT -p tcp --syn -j syn-flood。

iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN。

iptables -A syn-flood -j REJECT。

sysctl -w net.ipv4.icmp_echo_ignore_all=1。

echo "1" > /proc/sys/net/ipv4/tcp_syncookies。

注意：字母区分大小写；其中***.***.***.***为外网IP地址。

2．在Linux引导文件/etc/rc.d/rc.local文件中加入命令行：/etc/rc.d/rc.net，使脚本文件在系统启动时能够自动执行。

3．重新启动机器。

四、网线的连接

1．代理服务器eth0网络适配器与Internet接入设备（如光猫）用网线直接连接；注意此网线需要特殊的跳线如下：

一端：白橙、橙、白绿、蓝、白蓝、绿、白棕、棕。

一端：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕。

2．代理服务器的eth1、eth2…..等网络适配器与主干交换机用网线连接。

五、维护

此代理服务器为免维护服务器，为了更好的良好运转，可以每半年时间将此代理服务器重新启动一次。

1网卡多网关的

一块网卡设置多个ip地址很简单 。

只要把配置文件复制多个

然后修改名字为 eth1:0 eth1:1 等就行了 。

注意设备文件名也要做相应的修改 。

问题是500个ip有些多了

一个linux网关带500台的话需要很好的优化才行 。

另外如果用一块网卡带500台 网卡的负载也很大 。

建议用多块网卡

Linux学习网收集整理 ,（如果您觉得本站不错，请告诉身边的朋友，或转载到论坛、百度知道、贴吧等，记得带网址哟，不胜感激！）。

原文地址：http://www.qianchusai.com/nat%E6%90%AD%E5%BB%BAv2ray.html